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Forord 


Samhallet digitaliseras i hog takt, tjanster som forut tillhandaholls analogt erbjuds 
nu digitalt. Det skapas utover det aven tjanster som inte har nagon analog 
forebild. Denna utveckling accelererar i takt med att teknikens mojligheter 
flyttas fram samt att medborgarnas forvantningar pa vilken service som ska 
erbjudas digitalt okar. Digitaliseringen i kombination med forvantningar skapar 
en situation dar hastighet och forandringsdriv gar fore sakerhet och kontroll. 

I denna verklighet befinner sig samtliga svenska myndigheter. Alla behover 
balansera det innovativa och nya med det systematiska riskbaserade, en balans- 
gang som kan avgora hur val rustade svenska myndigheter och i fdrlangningen 
det svenska samhallet ar da it-incidenter intraffar. 

Det ar naivt att tro att it-incidenter ar en foreteelse som kan arbetas bort. 
Det kommer alltid att intraffa incidenter, det ar hur val organisationer, saval 
offentliga som privata, hanterar de intraffade incidenterna som avgor hur 
allvarliga konsekvenserna blir. Det ar inte aktuellt att tala om nagon nollvision 
for allvarliga it-incidenter. Omradet ar alldeles for komplext och beroendena for 
stora. Det ar daremot rimligt och onskvart att arbeta for en nollvision rorande 
de incidenter som skapar stora konsekvenser pa grund av ett undermaligt 
informations- och cybersakerhetsarbete. MSB erbjuder stod i olika former 
under informationens hela livscykel och det ar var uttalade vilja att det fore- 
byggande, systematiska och riskbaserade informationssakerhetsarbetet ges den 
uppmarksamhet och de resurser som kravs for att minska antalet allvarliga 
konsekvenser nar nagot gar fel. 

Det vi myndigheter har att erbjuda samhallet ar beroende av att medborgarna 
litar pa att myndigheterna utfor sina uppdrag pa ett sakert och effektivt satt. Om 
tilliten till statliga myndigheter tillats erodera pa grund av ett bristfalligt sakerhets- 
arbete i kombination med en hastig och expansiv digitalisering riskerar vi att skada 
den sa viktiga tilliten som skapar legitimitet for myndigheternas verksamhet. 


Ake Holmgren 

Chef avdelningen for cybersakerhet 

och sakra kommunikationer 
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Sammanfattning 


Sammanfattning 

MSB har sedan april 2016 mottagit rapporter om allvarliga it-incidenter fran 
statliga myndigheter. Sedan dess har samhallets digitalisering fortsatt och i vissa 
avseenden okat takten. Denna arliga rapport tar sitt avstamp i de rapporter som 
MSB tar del av samt den ovriga omvarldsbevakning och ovriga infloden. Samtliga 
myndigheter behover forhalla sig till krav pa att digitalisera delar av eller hela sin 
verksamhet. Dessa kommer saval fran politiskt hall i och med krav pa okad effek- 
tivitet, som fran medborgare i form av okade forvantningar pa tillganglighet och 
service via exempelvis applikationer i smarta telefoner. Denna utveckling innebar 
en utmaning for hela samhallet. For att pa ett andamalsenligt satt digitalisera sin 
verksamhet behovs forebyggande sakerhetsarbete. Dessvarre ar det ofta ny teknik 
ligger ett eller flera steg framfor sakerhetsarbetet generellt, och sakerhetsarbetet 
hos myndigheter specifikt. Denna diskrepans ar inte ny och MSB har i tidigare 
rapporter och presentationer pekat pa den okande sakerhetsskuld som ligger till 
grund for manga av de allvarliga it-incidenter som rapporteras. 

I rapporten finns ett antal larande exempel pa allvarliga it-incidenter som 
bygger pa rapporteringen under 2019. Vi hoppas att dessa exempel och till- 
horande atgardsforslag kan anvandas i myndigheternas forebyggande arbete. 

De kompletterar de foreskrifter och vagledningar som MSB i ovrigt har tagit fram 
for att stotta myndigheterna i deras systematiska och riskbaserade informations- 
och cybersakerhetsarbete. Manga myndigheter drabbas av liknande it-incidenter 
som beskrivs, ofta i onodan, da det finns enkla satt att forebygga de fiesta av 
dem, alternativt att minska konsekvenserna nar de intraffar. Denna rapport ar 
aven en vagledning for de myndigheter som omfattas av rapporteringsplikten. 
Med grund i den samlade kunskapen om vilka incidenter som intraffar ger 
rapporten rekommendationer om relevanta sakerhetsatgarder. Vagledningen 
och rekommendationerna ar giltiga for ovriga verksamheter i samhallet utover 
rapporteringsskyldiga myndigheter. Kommuner, regioner eller privata foretag 
kan aven de ta stod i den vagledning som denna rapport ger. 

Under 2019 mottog MSB 296 rapporter om allvarliga it-incidenter fran statliga 
myndigheter. En analys av de rapporterade incidenterna visar att: 

• Handhavandefel har okat. 

• Fler myndigheter rapporterar allvarliga it-incidenter men antalet rapporter 
ar fortsatt lagt. 

• Systematiskt och riskbaserat informationssakerhetsarbete med incident- 
hanteringsprocesser och kontinuitetsplanering skulle hoja lagstanivan. 
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1. Digitaliseringen 
av samhallet 


Samhallet ar idag ihop- och uppkopplat och att koppla samman verksamheter 
och aktorer ar en av grundideerna med att digitalisera. Malet ar att skapa mer- 
varden och mojliggor effektivisering av processer. Sammankopplingen resulterar 
i beroenden som ar svara att kardagga och redogora for. Beroenden ar ofran- 
komliga och behover inte vara ett problem, men de beroenden som organisa- 
tionen inte vet om kan pa sikt ge ooverblickbara konsekvenser. Komplexiteten 
i digitaliseringen blir pa detta satt en sarbarhet i sig sjalv. De beroenden som 
byggs upp kan ses som en kedja dar kedjan inte ar starkare an den svagaste 
lanken. For att minska riskerna for allvarliga konsekvenser behover dessa svaga 
lankar bli starkare. Inte minst med avseende pa att det finns en hotbild mot 
svenska myndigheter. 1 Men allvarliga it-incidenter kan ocksa ske utifran rena 
misstag och triviala fel. 

Samhallet digitaliseras i hog takt. Utvecklingen mot effektivare och snabbare 
hantering av saval myndighetsuppgifter som privata arenden driver pa fran flera 
hall och skapar situationer dar eftertanksamhet och systematiskt sakerhetsarbete 
i vissa fall far stryka pa foten med argument som exempelvis att det forsenar 
utvecklingen. Denna utveckling ar inte ny, det som ar nytt ar den hastighet 
med vilken nya innovationer integreras i verksamhetsprocesser. Tidigare har 
digitalisering typiskt varit ett fenomen dar en avgransad del av en verksamhet 
gors digital, med en analog forebild. Detta innebar att det finns en forlaga, 
och nagot att relatera till, samt falla tillbaka pa da den digitala versionen inte 
fungerar. I och med den snabba och standigt accelererande teknikutvecklingen 
borjar denna modell for digitalisering utmanas. Numera skapas nya processer 
och verksamheter som ar byggda enbart for den digitala verkligheten. 

Ytterligare problematiserande aspekter for den snabba digitaliseringen ar det 
faktum att manga av de system som myndigheter anvander dagligdags for sin 
informationshantering ar gamla, och i manga fall sa pass gamla att det i sig 
ar en sakerhetsrisk. Riksrevisionen har patalat detta problem och kommit till 
slutsatsen att det hotar informationssakerheten hos statliga myndigheter att it- 
system och it-miljoer ar foraldrade. I vissa fall ar de sa komplexa att det ar svart, 
eller till och med omojligt, att fa en overblick over hur systemet ar ihopkopplat 
eller vilka system som ar beroende av varandra for att fungera. 2 Ytterligare 
aspekter som fordjupar den problembild som Riksrevisionen pekar pa, och 
som MSB delar, ar det faktum att flera av de stora myndigheterna agerar 
vardmyndigheter at mindre myndigheter nar det galler it-drift. 


1. Se exempelvis FRA:s arsbok 2019, Musts arsoversikt 2019 samt Sakerhetspolisens arsbok 2019. 

2. RiR 2019:28 
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Denna utveckling, som i grund och botten handlar om effektivisering och hus- 
hallning med skattemedel, riskerar att aventyra sakerheten hos flera aktorer om 
det ar sa att foraldrade och komplexa system harbargerar flera myndigheters 
information. Ett antal centrala myndigheter ar till sin natur centrala informations- 
noder for mycket verksamhet i samhallet. Dessa noder ar vitala for att hela sam- 
hallets tillgang till data ska sakerstallas. 

Det pagar for narvarande en rad initiativ for att digitalisera staten. I detta arbete 
ingar att strukturera, tillgangliggora, och vidareutnyttja centrala datamangder. 
Utover detta pagar arbete med att bygga gemensamma it-infrastrukturer for 
informationsutbyten. Anvandandet av molntjanster och outsourcad it-drift ar 
redan en realitet for manga myndigheter. Detta staller oundvikligen hogre 
krav pa det systematiska informationssakerhetsarbetet bade inom och mellan 
organisationer samt en kraftsamling kring gemensamma cybersakerhetsfragor 
pa samhallsniva. I ett framtida lage dar mycket av det dagliga informations- 
utbytet myndighet till myndighet och myndighet dll privatperson forvantas 
kunna ske genom alltmer sammanflatade infrastrukturer for informations- 
utbyte kan avbrott, oriktig hantering av information eller informationslackage 
fa omfattande konsekvenser for exempelvis handlaggning, rattssakerhet, privat- 
personers ekonomiska trygghet och samhallets sakerhet och beredskapsformaga. 
Nar storre datavolymer pa sikt ska kunna nas av Her kravs en val genomtankt 
infrastrukmr for behorighetskontroll, autentisering och uppfoljning. Behorighets- 
kontroll med stod av digitala identiteter kommer bli en alltmer kritisk del av 
ett sakert digitaliserat samhalle som ska kunna skyddas mot identitets- och 
informationsstolder. 

I de kommande arens arbete med att fortsatta digitaliseringen av myndigheter nas 
informationshantering kommer ekonomiska incitament for effektivisering och 
kostnadsbesparingar att vara starka drivkrafter. I takt med att nya digitaliserade 
losningar integreras med aldre it-losningar som i sitt ursprung inte dimensionerats 
uppstar stora utmaningar for informationssakerheten. 
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2. Arbetet for eft sdkrare 
digitalt samhalle 

MSB:s arbete med informations- och cybersakerhet omfattar hela hotskalan, 
det vill saga allt ifran exempelvis naturhandelser som paverkar informations- 
och cybersakerhet till angrepp. Denna ansats ger en heltackande bild over vad 
som paverkar myndigheters, och i forlangningen samhallets informations- och 
cybersakerhet. Detta innebar att de forebyggande atgarder som vi rekommen- 
derar tar sikte pa samtiiga delar av informationshanteringen oavsett hot. Detta 
i kombination med de insatser som gors av andra myndigheter med uppgifter 
inom informations- och cybersakerhet, som exempelvis Forsvarets Radioanstalt 
(FRA), Sakerhetspolisen och Forsvarsmakten, borgar for att svenska myndig¬ 
heter har tillgang till information och stod for att bedriva sin verksamhet med 
andamalsenlig informations- och cybersakerhet. 

Att uppratthalla informations- och cybersakerhet ar prioriterade aven under 
situationer av kris eller i ett lage av hojd beredskap. I och med den aterupptagna 
planeringen for totalforsvaret har MSB paborjat arbetet med att se over och ut- 
veckla de delar av myndigheten och dess ansvarsomraden som behover fungera 
vid ett lage av hojd beredskap. Formaga inom informations- och cybersakerhet 
bedoms vara viktig att uppratthalla. Inom MSB:s ansvarsomrade: samhallets 
informations- och cybersakerhet ryms bland annat uppgiften att pa forekommen 
anledning rapportera till regeringen om forhallanden rorande informations- och 
cybersakerheten i samhallet som kan leda till behov av att vidta atgarder. For 
denna typ av rapportering ar incidentrapporteringen fran statliga myndigheter 
en, av flera, viktiga informationskallor. 

MSB ska arligen presentera en sammanstallning och analys av de rapporter 
om allvarliga it-incidenter som inkommit under det foregaende kalenderaret 3,4 . 

2.1 Nar nagot gar fel 

Alla verksamheter kommer forr eller senate att drabbas av nagon form av 
allvarlig it-incident. Nar detta sker har rapporteringspliktiga 4 5 myndigheter 


3. I enlighet med kravet pa arlig rapport i 11 a § 2 st forordning (2008:1002) med instruktion for 
Myndigheten for samhallsskydd och beredskap. 

4. Infor sammanstallningen av rapporten ska MSB enligt sin instruktion aven inhamta upplysningar fran 
Sakerhetspolisen och Forsvarsmakten om de incidenter som rapporterats in till dessa myndigheter enligt 

2 kap. 10 § forsta stycket 2 i sakerhetsskyddsforordningen (2018:658). Resultatet av denna inhamtning 
redovisas i bilaga 2 (sekretessbelagd). 

5. Enligt 20 § i forordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters atgarder 
vid hojd beredskap, krisberedskapsforordningen, galler rapporteringsskyldigheten for it-incidenter alia statliga 
myndigheter under regeringen, med undantag for Regeringskansliet, kommittevasendet, Sakerhetspolisen, 
Forsvarsmakten, Forsvarets materielverk, Forsvarets radioanstalt och Totalforsvarets forskningsinstitut enligt 

3 § i samma forordning. For utlandsmyndigheterna tillampas bestammelserna endast i den utstrackning som 
bestams i foreskrifter som meddelas av Regeringskansliet (Utrikesdepartementet). 
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krav pa att anmala dessa till MSB 6 7 . Rapporterna mottas vid MSB av funktionen 
CERT-SE som bland annat bidrar med operativt stod. Ibland kan det dock vara 
svart att avgora vad som ar en rapporteringspliktig incident och darfor behover 
man inte ha konstaterat en incident for att vanda sig till CERT-SE. Rapporterna 
som inkommer omfattas till storsta del av sekretess.' MSB:s arbete syftar framst 
till att ge stod till myndigheterna att forebygga it-incidenter, i andra hand att 
stodja i hanteringen nar de intraffar. MSB ger stod till alia aktorer som vander 
sig till CERT-SE, inte bara myndigheter. Stodet kan utga fran en rapporterad 
incident och en incident dar stod lamnats kan aven generera en rapport. 

De fiesta it-incidentrapporter som inkommit ar dock av den karaktaren att 
inget stod behovs, antingen for att myndigheten hanterat incidenten pa egen 
hand eller for att rapporten lamnas sa langt efter att handelsen intraffat att 
det inte ar relevant att ge stod. 

2.1.1 Vilka ska rapportera? 

I mars 2019 uppgick antalet rapporteringsskyldiga myndigheter till 251 stycken, 
vilket ar en minskning med fern myndigheter sedan foregaende ar. Antalet 
myndigheter varierar fran ar till ar da vissa tillkommer och andra faller ifran. 

Det ar vidare sa att flera myndigheter i praktiken harbargeras och driftas av 
andra myndigheter. Denna utveckling har skapat viss osakerhet hos aktorerna 
gallande it-incidentrapporteringen. I vissa fall ar systemen och informationen 
sa sammanlankad att det ar svart att avgora vem som bor rapportera eventuella 
incidenter. Ett fatal storre myndigheter har aktivt tagit en roll att ansvara for 
mindre myndigheters it. Detta ar i grund och botten en positiv utveckling, 
men det maste finnas en tydlighet gallande vems information som paverkas av 
eventuella it-incidenter sa att de berorda parterna kan rapportera och agera pa 
de incidenter som uppstar. 

2.1.2 Vad som ska rapporteras 

Statliga myndigheter ska ha rutiner for att identifiera, bedoma, rapportera, hantera 
och dokumentera incidenter som kan paverka sakerheten i den informations- 
hantering som myndigheten ansvarar for eller i tjanster som myndigheten till¬ 
handahaller at en annan organisation. 8 Myndigheterna ska skyndsamt rapportera 
it-incidenter som intraffat i myndighetens informationssystem och som allvarligt 
kan paverka sakerheten i den informationshantering som myndigheten ansvarar 
for eller i tjanster som myndigheten tillhandahaller at en annan organisation. 
Det ar upp till myndigheterna sjalva att bedoma vilka incidenter som ar till- 
rackligt allvarliga for att omfattas av rapporteringsskyldigheten. 


6. Alla statliga myndigheter ska enligt 20 § i forordningen (2015:1052) om krisberedskap och bevaknings- 
ansvariga myndigheters atgarder vid hojd beredskap skyndsamt rapportera it-incidenter som intraffat i 
myndighetens informationssystem och som allvarligt kan paverka sakerheten i den informationshantering 
som myndigheten ansvarar for eller i tjanster som myndigheten tillhandahaller at en annan organisation. 
Rapporteringen ska ske till MSB, i enlighet med MSB:s foreskrifter om statliga myndigheters rapportering 
av it-incidenter (MSBFS 2016:2). Rapporteringsskyldigheten omfattar inte sadana incidenter som ska 
rapporteras enligt 10 2. § i sakerhetsskyddsforordningen (2018:658). 

7. Med stod av 18 kap 8 § 3 p. i offentlighets och sekretesslagen (2009:400). Tillampningen har provats 
flera ganger i Kammarratten, dar domsluten stoder MSB:s stallningstagande till sekretessbedomningen. 

Se bland annat dom fran Kammarratten i Goteborg, mal nr 5032-16. 

8. 10 § i MSB:s foreskrifter om statliga myndigheters informationssakerhet (MSBFS 2016:1). 
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Rapporteringen av allvarliga it-incidenter till MSB ska innehalla uppgifter om 
bland annat tidpunkter for upptackt, nar incidenten intraffade och om den ar 
pagaende eller avslutad. Myndigheterna ska ocksa uppge eventuell sekretess for 
uppgifterna i rapporten samt om handelsen ar polisanmald. 9 Rapporterings- 
forfarandet ses over under 2020 for att underlatta for de rapporterande myndig¬ 
heterna, samt for att sakerstalla att den information som MSB behover for att 
kunna stodja operativt vid behov finns och for att dra ratt slutsatser om vilka 
atgarder som kravs och vilka forebyggande insatser som har bast effekt. 

2.2 Ovrig incidentrapportering 

MSB ar ansvarig myndighet gallande NIS-lagstiftningen och forordningen 10 , 
vilket bland annat innebar att myndigheten tar emot incidentrapporter fran 
verksamheter som berors av regleringen samt utgor Sveriges CSIRT (Computer 
Security Incident Response Team). Denna rapportering skiljer sig at fran den av 
krisberedskapsforordningen reglerade incidentrapportering som ar i fokus for 
denna rapport, men da det andock handlar om it-incidenter rapporterade till 
MSB namns NIS-rapporteringen har 11 . 

Skillnaderna mellan rapporteringen enligt NIS-lagstiftningen och krisberedskaps¬ 
forordningen ar flera. NIS-lagstiftningen riktar sig till identifierade leverantorer 
av samhallsviktiga och digitala tjanster i privat och offentlig sektor 12 . Vidare 
avgransas NIS till sju sektorer: bankverksamhet, finansmarknadsinfrastruktur, 
digital infrastruktur, leverans och distribution av dricksvatten, energi, transport 
samt halso- och sjukvard. For att en incident ska rapporteras till MSB kravs 
att en storning av leveransen av den samhallsviktiga tjansten uppstar, samt att 
denna storning har sitt ursprung i en incident i ett natverk eller informations- 
system. Kriterierna for att incidentrapportera enligt NIS ar saledes hogre an 
den rapportering som denna rapport fokuserar pa, dar incidenter som allvarligt 
k.an pdverka sakerheten ska rapporteras. 

Sedan NIS incidentrapportering inleddes i mars 2019 har ett 50 tal rapporter 
kommit in, dessa rapporter sammanfattas och redovisas till EU-kommissionen 
och Regeringskansliet arligen i februari. Dessa incidenter, tillsammans med de 
incidenter som inkommer till MSB enligt krisberedskapsforordningen, ar en 
delmangd av den information som MSB anvander for att skapa en forstaelse 
for forhallandena gallande informations- och cybersakerhet for samhallet i 
stort och svenska myndigheter specifikt. 

2.3 Nyttogorande av it-incidentrapportering 

MSB bedriver ett strategiskt analysarbete kopplat till de inkommande rapporterna 
om allvarliga it-incidenter. Det underlag som rapporterna genererar ar ett av 
flera underlag som anvands for att inrikta arbetet med samhallets informations- 
och cybersakerhet. Den strategiska analysen kopplar samman det operativa 


9. MSB:s foreskrifter for obligatorisk it-incidentrapportering for statliga myndigheter (MSBFS 2016:2) 

10. 2018:1175 

11. For mer information om NIS, se [https://www.msb.se/sv/amnesomraden/informationssakerhet- 
cybersakerhet-och-sakra-kommunikationer/nis-direktivet/] 

12. For information om anmalan se MSB:s foreskrift MSBFS 2018:7 
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arbetet som utfors med det langsiktiga forebyggande arbete som bedrivs. Da 
MSB har ett sarskilt ansvarsomrade med att stodja och samordna samhallets 
informations- och cybersakerhet ar det av stor vikt med en andamalsenlig bild 
av hur laget ser ut bland statliga myndigheter. 

Det ar inte mojligt, eller onskvart, att enbart det offentliga planerar och 
genomfor insatser for att oka samhallets informations- och cybersakerhet. 
Mycket av det som ska skyddas ligger utanfor statens kontroll. Avregleringar 
och privatiseringar innebar att manga samhallsviktiga verksamheter drivs av 
naringslivet. For att sakerstalla att MSB nar ut till det privata naringslivet med 
stod genomfor MSB insatser nar det galler privat-offentlig samverkan pa 
informations- och cybersakerhetsomradet. 

2.4 Nya foreskrifter 

Det ar for fa myndigheter som rapporterar it-incidenter och antalet rapporterade 
incidenter borde vara tier 13 . MSB reviderar darfor foreskrifterna for incident- 
rapportering i syfte att det ska bli enklare for statliga myndigheter att avgora vilka 
incidenter som ska rapporteras. De nya foreskrifterna ska ocksa underlatta mojlig- 
heten att ge stod vid den operativa hanteringen av en it-incident. I anslutning 
till att foreskrifterna trader i kraft kommer det tas fram en ny vagledning och 
ett nytt incidentrapporteringsformular. 

For att ytterligare inrikta och forbattra de statliga myndigheternas informations- 
och it-sakerhet reviderar och kompletterar MSB ocksa foreskrifterna om infor¬ 
mationssakerhet for statliga myndigheter och utfardar aven nya foreskrifter om 
it-sakerhet for statliga myndigheter. 


Den nya samt de reviderade foreskrifterna dr: 

Revidering av MSBFS 2016:1 ger ny foreskrift med nytt nummer- MSB:s 
foreskrifter och allmanna rad om statliga myndigheters informationssakerhet 

Revidering av MSBFS 2016:2 ger ny foreskrift med nytt nummer - MSB:s 
foreskrifter om statliga myndigheters rapportering av it-incidenter 

Nya foreskrifter - MSB:s foreskrifter och allmanna rad om statliga myndigheters 
it-sakerhet. 


De storsta forandringarna i foreskrifterna om informationssakerhet bestar i att 
regiering om fysisk sakerhet och personalsakerhet har lagts till. Dessutom har 
kraven pa uppfoljning och utvardering konkretiserats ytterligare. De nya fore¬ 
skrifterna om it-sakerhet for statliga myndigheter kompletterar foreskrifterna 
om informationssakerhet genom att fortydliga hur skyddet for myndighetens 
it-miljo ska utformas. I foreskriften stalls exempelvis krav pa att vidta utpekade 
sakerhetsatgarder avseende riskbedomning, omvarldsbevakning, utveckling och 
anskaffning samt drift och forvaltning av informationssystem. 


13. FOI redovisade i februari 2020 ett uppdrag till Justitiedepartementet dar de undersokt orsaker till 
underrapportering av allvarliga it-incidenter till MSB, liksom av polisanmalningar da rapporterna rort 
angrepp. MSB gor en kort oversikt over FOI:s resultat och slutsatser i kapitel 5, men hanvisar i ovrigt till 
FOI:s rapport for statistiska underlag. 
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Exempel pa operativt stod 

CERT-SE fick information fran en forskare i ett annat land att det fanns sarbar- 
heter i ett underliggande bibliotek i en samhallskritisk tjanst en myndighet leve- 
rerar. Efter att CERT-SE varit i kontakt med myndighetens incidenthanterare 
inleddes interna under sokningar, dar aven myndighetens sakerhetsfunktion var 
delaktig. Sakerhetsansvarig undersokte den potentiella sarbarheten och forsokte 
bekrafta informationen som CERT-SE hade delgett. Kontakt med ovriga 
relevanta funktioner inom myndigheten holls lopande under dagen. Ungefar 
tio timmar efter att informationen kom in var en ny version av tjansten klar att 
laggas ut i produktion. All testning av tjansten hade gatt bra och beslut fattades 
att publicera den, vilket ocksa skedde efter ytterligare nagra minuter. 

Sarbarheten skulle ha kunna medfort en incident dar kansliga personuppgifter 
spreds till obehoriga. Myndigheten bedomde dock risken att sa faktiskt skett 
var lag, eftersom sannolikheten att nagon skulle hittat luckan var liten. Efter 
incidenten reviderade myndigheten sina processer och inforde rutiner for 
kontinuerlig uppdatering av stodtjanster och bibliotek for att pa sa vis avhjalpa 
risken for sarbarheter. 


Rekommendation 

Myndigheten har gjort allt ratt i detta fall, den agerade skyndsamt och atgardade 
den potentiellt kritiska incidenten. Forutom de processer som myndigheten 
sjalv sett over sa ar det viktigt att granska aktiviteten i samtliga loggar i it-miljon 
(systemloggar, trafikloggar etc.) om en sarbarhet upptackts. Om det finns risk 
att inloggningsuppgifter sa som anvandarnamn och losenord har lackt, bor man 
ocksa vidta atgarder for att forsakra sig om att samma uppgifter inte anvants 
aven pa andra tjanster. 
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3. It-incidentrapportering 
2019 


I detta kapitel redovisas den it-incidentrapportering som MSB mottagit fran 
statliga myndigheter under ar 2019. 

I enstaka fall har de rapporterande myndigheterna lamnat en preliminar 
rapport som sedan kompletterats. I de fallen har dessa endast raknats som en 
rapport. Daremot kan en och samma handelse generera it-incidentrapporter 
fran flera myndigheter om flera myndigheter berorts, exempelvis vid elavbrott 
eller storningar i elektroniska kommunikationer. 

Givet att myndigheterna sjalva avgor allvarlighetsgraden vid en incident, 
och darmed aven om den ar rapporteringspliktig, far MSB in rapporter om olika 
typer av incidenter. Det en myndighet bedomer som en rapporteringspliktig 
incident kan en annan myndighet bedoma som en mindre handelse som inte 
behover rapporter as. 

Rapporterna raknas utifran det datum som de rapporterats till MSB, aven 
om incidenten har upptackts eller intraffat vid ett tidigare datum. 



Figur 1. Linjediagram med antal inkomna it-incidentrapporter per manad 2019. 
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3.1 Antalet rapporter i stort ofdrandrat 

Under 2019 inkom totalt 296 rapporter om allvarliga it-incidenter fran de 
rapporteringsskyldlga myndigheterna. 14 Antalet myndigheter som lamnat minst en 
rapport under 2019 ar 101 stycken och antalet myndigheter som inte lamnat nagon 
rapport ar 150 stycken, vilket ger en rapporteringsgrad pa 40 %. Rapporternas 
fordelning over aret visar pa hogre rapporteringsgrad under varen och hosten och 
en lagre niva av rapporterade it-incidenter under sommaren och vintern. 

3.2 Handhavandefel dr den storsta kategorin 

Niir en it-incident rapporteras gar det att ange flera incidentkategorier for varje 
rapport. I de fall flera kategorier har angetts har rapporterade incidenter av MSB 
bedomts huvudsakligen tillhora en incidentkategori. 

De fyra storsta kategorierna for typ av it-incident under 2019 ar i fallande ordning 
handhavandefel (68 rapporter), angrepp (62 rapporter), oonskadelleroplaneradstorning i 
kritisk injrastruktur (45 rapporter) samt stdmingi drifimifjb (44 rapporter). Dessa fyra ar 
tatt foljd av kategorin stdming i mjukvara eller hardvara (41 rapporter) och tillsammans 
utgor dessa fern av tio kategorier 88 % av alia it-incidenter som rapporterats. 

■ 2019 

Angrepp 

Oonskad eller oplanerad 
stdming i kritisk infrastruktur 

Storning i driftmiljd 

Handhavandefel 

Storning i mjukvara 
eller hardvara 

Informationslackage 
eller -fdrlust 

Sakerhetsbrist i produkt 

Annan plotslig oforutsedd 
handelse som left till skada 

Informationsfdrvanskning 

Hindrad tillgang till 
information 

0 5 10 15 20 25 

Figur 2. Stapeldiagram med procentuell fordelning av antal inkomna it-incidentrapporter 
per kategori 2019. 




14. Rapporteringsgraden kan fortfarande vara paverkad av undantaget i rapporteringsskyldigheten i de fall 
en myndighet har utkontrakterat delar av sin it-drift innan foreskrifterna tradde i kraft. Detta i enlighet med 
9 § i MSB:s foreskrifter om statliga myndigheters rapportering av it-incidenter (MSBFS 2016:2). 
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Exempel pa handhavandefel 

En anstalld vid myndigheten skapade en natverksloop via en switch, med total- 
stopp i natverket som foljd. 

Initialt gjordes forsok till felsokning genom att utfora omstarter av en central 
switch. Nar detta inte hjalpte upptacktes valdigt manga paketforluster pa en 
specifik port. Efter ytterligare felsokningar kunde felet harledas till en specifik 
port pa en lokal switch. Tekniker stangde av porten for vidare felsokning. I den 
aktuella porten satt en lokal omanagerad natverks switch som hade en natverks- 
kabel kopplad mellan tva portar, vilket skapade en natverksloop. Incidentens 
omfattning medforde att all natverkstrafik pa myndigheten paverkades. Vidare 
felsokning visade att det tillaggsprotokoll som skulle ha kunnat forhindra nat- 
verksloopen (spanning tree) inte var korrekt konfigurerat. Detta hanterades av 
tekniker och implementerades overlag i myndighetens it-miljo. 


Rekommendation 

Det ar enkelt att av misstag koppla ihop tva portar och oavsiktligt skapa den har 
typen av problem. Det finns tekniska losningar som kan upptacka om sa skett, 
exempelvis loopskydd som sander protokollpaket fran portarna dar skyddet 
aktiverats. Om det upptacker att protokollet tar emot samma paket i en port som 
sander, stangs porten som protokollet skickades fran ned. Se aven till att endast 
behorig personal kan gora forandringar i natverk, natverksstruktur- och topologi. 







Exempel pa storning i driftmiljd 

Ett blixtnedslag slog ut en dator, vilket innebar allvarliga storningar i en myndig- 
hets samhallskritiska verksamhet, i nastan ett dygn. Ingen reservdator av den 
typ som behovs for verksamheten fanns pa plats utan en tekniker var tvungen 
att ta med sig en dator fran annan ort och konfigurera den. 

Pa grund av bristande rutiner forvarrades konsekvenserna av incidenten. 
Enligt dokumentation skulle en fardigkonfigurerad reservdator finnas pa plats, 
men pa grund av bristande rutiner var sa inte fallet. 

Incidenten fick stora konsekvenser pa leverans av samhallskritisk tjanst. 


Rekommendation 

Vadret ar svart att ra pa men interna rutiner kan man daremot ha battre kontroll over. 
Nar det galler samhallskritisk verksamhet ar det av yttersta vikt att ha reservutrustning 
nara till hands, och redo for anvandning, for att minimera samhallsstorningen i 
tid och omfang. Rutinerna och dokumentationen kring detta bor ses over sa att 
liknande handelser inte intraffar. 
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3.3 Konsekvenser 

Konsekvensen for den rapporterade it-incidenten bedoms av den rapporterande 
myndigheten. 

Den mest frekventa konsekvenskategorin ar begransad konsekvens (126 rapporter) 
vilket svarar for 43 % av alia anmalda it-incidenter. Stor konsekvens ar den nast 
vanligaste (84 rapporter) foljt av mycket stor konsekvens (41 rapporter) och 
okand konsekvens (30 rapporter). 115 rapporter angavs ingen konsekvens. 

De kategorier som ar vanligast forekommande bland incidenter som fatt stora 
eller mycket stora konsekvenser ar oonskad eller oplanerad storning i kritisk 
infrastruktur, storning i driftmiljo samt handhavandefel. For kategorin angrepp 
ar det fa incidenter som av myndigheterna anges ha fatt annat an begransade 
konsekvenser. 



| Begransad 
Stor 

| Mycket stor 
■ Okand 
Inget svar 


Figur 3. Cirkeldiagram med procentuell fordelning av it-incidentrapporter per 
konsekvenskategori 2019. 
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4. It-incidentrapportering 
2016-2019 


I detta kapitel redovisas den rapportering som skett under 2016—2019 for att satta 
rapporteringen i foregaende kapitel i en kontext samt som ett inledande material 
infor analys i kommande kapitel, men ocksa som en summering over perioden. 

I enstaka fall har myndigheterna lamnat en preliminar rapport som sedan 
kompletterats. I de fallen har detta endast raknats som en rapport. Daremot 
kan en och samma handelse generera it-incidentrapporter fran flera myndig- 
heter om flera myndigheter berorts, exempelvis vid elavbrott eller storningar i 
elektroniska kommunikationer. 

Givet att myndigheterna sjalva avgor allvarlighetsgraden vid en incident, och 
darmed aven om den ar rapporteringspliktig, far MSB in rapporter om olika 
typer av incidenter. Det en myndighet bedomer som en rapporteringspliktig 
incident kan en annan myndighet bedoma som en mindre handelse som inte 
behover rapporter as. 

Rapporterna raknas utifran det datum som de rapporterats till MSB, aven 
om incidenten har upptackts eller intraffat vid ett tidigare datum. 

4.1 Fler myndigheter rapporterar 

Under de tva senaste aren har antalet rapporteringspliktiga myndigheter varit 
nagot hogre an under de tva forsta aren. Okningen av antalet rapporterade 
incidenter som skedde under de tre forsta aren har avstannat, dock har andelen 
myndigheter som rapporterat in incidenter okat. Flera myndigheter har lamnat 
en eller flera rapporter under vissa ar, men inga alls under andra ar. 


Tabell 1. Antal rapporteringspliktiga myndigheter, antal rapporterande myndigheter och 
antalet lamnade rapporter for 2016-2019 



2016 

2017 

2018 

2019 

Antal rapporteringspliktiga myndigheter 

244 

244 

256 

251 

Antal (andel) rapporterande myndigheter 

77 (32 %) 

79 (32 %) 

87 (34 %) 

101 (40%) 

Antal inlamnade it-incidentrapporter 

214 (285) 15 

281 

297 

296 


Rapporteringsgraden varierar over aret, men har sedan starten i april 2016 inte 
forandrats i nagon storre omfattning. 


15. Da incidentrapporteringen startade forst i april 2016 har det redovisade antalet it-incidentrapporter 
aven justerats for brutet rakenskapsar. 
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It-incidentrapportering 2016-2019 


■ 2016 ■ 2017 ■ 2018 


■ 2019 



Figur 4. Linjediagram med antal inkomna it-incidentrapporter per manad 2016-2019 


4.2 Handhavandefel har okat 

Vid rapportering av en allvarlig it-incident gar det att ange Hera incidentkategorier 
for varje rapport. Exempelvis kan en it-incident i driftmiljon orsakas av ett angrepp 
som leder till hindrad tillgang till information och saledes kan rapporterande 
myndighet valja att ange tva kategorier. Rapporterade incidenter har av MSB 
bedomts huvudsakligen tillhora en incidentkategori. Enligt denna bedomning 
har rapporterna varit fordelade enligt nedanstaende tabell. 


Tabell 2. Rapporterade allvarliga it-incidenter per kategori 2016-2019. 


Kategori 

Antal 2016 

Antal 2017 

Antal 2018 

Antal 2019 

Angrepp 

66 

78 

73 

62 

Oonskad eller oplanerad storning i 
kritisk infrastruktur 

9 

18 

59 

45 

Storning i driftmiljo 

66 

45 

47 

44 

Handhavandefel 

17 

50 

42 

68 

Storning i mjukvara eller hardvara 

38 

60 

38 

41 

Informationslackage eller -forlust 

11 

3 

21 

19 

Sakerhetsbrist i produkt 

2 

12 

14 

13 

Annan plotslig oforutsedd handelse 
som lett till skada 

0 

9 

3 

2 

Informationsforvanskning 

0 

4 

0 

0 

Hindrad tillgang till information 

5 

2 

0 

2 

Totalt 

214 

281 

297 

296 
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Exempel pa handhavandefel 

Vid en kontroll av myndighetens ftp-konton (file transfer protocol), som del av 
ett arbete med att aweckla dessa, konstaterades att ett konto hade satts upp pa 
sadant vis att en fil lag tillganglig for alia som hade atkomst till kontot. Losningen 
hade varit uppsatt pa detta satt sedan flera ar tillbaka. De som hade atkomst till 
kontot var organisationer som rapporterar in kansliga uppgifter, bland annat 
om sina anstallda. Flera fel hade begatts i fallet, bland annat hade interna krav 
pa behorighetsstyrning inte efterlevts da flera organisationer hade tillgang till 
samma ftp-konto. Vidare hade uppgifter kunnat lamnas via en okrypterad 
forbindelse. Det fanns ocksa en risk att enskilda filer potentiellt funnits 
tillgangliga for andra organisationer da de hade tillgang till samma konto. 

De fiesta organisationer som rapporterar in uppgifter har maskin-till-maskin- 
overlamnande av filer men de som hade tillgang till kontot hade saledes mojlig- 
heten att logga in manuellt. Darfor fanns risken att olika organisationer kunde 
se varandras information som langst en timme for varje lamnad fil, innan den 
flyttades. Det fanns aven en risk att nagon med tillgang till kontot skulle ha 
kunnat ladda ner information pa regelbunden basis. Den kortsiktiga losningen 
pa problemet var att stanga kontot helt och sakerstalla att uppgiftslamnare 
anvande det sakrare protokollet sftp (secure file transfer protocol), som 
garanterar battre behorighetshantering och krypterad overforing. 


Rekommendation 

Det ar olampligt att flera olika anvandare har tillgang till samma ftp-konto for 
overforing och hantering av filer, sarskilt sadana med kansligt innehall. Om flera 
anvander samma konto forsvaras mojligheten att spara vem som gjort vad, och 
vem som tagit del av informationen som ar publicerad dar. Dessutom saknar 
ftp-protokollet tillrackliga krypteringsfunktionerfor hantering av kansliga person- 
uppgifter. Istallet bor det sakrare alternativet sftp anvandas, och i fallet ovan 
fanns detta de facto tillgangligt att anvanda. Det bor ocksa infora metoder for 
verifiering av sin it-miljo, sa att det finns en person som ar ytterst ansvarig for att 
sakerstalla att kravspecifikationen for den levererade tjansten uppfylls. 





Exempel pa informationslackage eller -forlust 

En handelse av informationsforlust intraffade pa en myndighet da en anstalld 
hade skickat in en begaran om att tre lagringsytor skulle tas bort, vilket en 
tekniker utforde. Den anstallde var dock inte medveten om att bade backup- 
och arkivdata ingick i samma lagringsyta. Tva manader efter verkstallandet ater- 
kom den anstallde och ville lasa arkivdata fran dessa lagringsytor, vilket inte var 
mojligt da all information som var sparad i dessa ytor var raderad. Myndigheten 
hade fatt information om att det bara var backupdata som skulle forsvinna om 
man raderade en lagringsyta, men sa var inte fallet. Det har alltid varit sa att bade 
backup- och arkivdata tas bort vid radering. 

Konsekvensen av denna incident var att relevant data gick forlorad da den 
inte gick att aterstalla efter sa pass lang tid. 


Rekommendation 

Man bor se till att inte ha sin backup och sitt arkiv pa samma stalle. Gor skillnad 
pa produktionsdata (det vill saga levande dokument som anvands under arbetets 
gang) och den information som ska lagras under en langre tid eller permanent. 
Det ar ocksa lampligt att ha en extra backup pa annan fysisk plats. Om den 
enda backupen ligger aktivt i natet finns risken att den krypteras vid en eventuell 
ransomware-attack. 

Nar man gor en forandring i it-miljon bor man aven se over sina verifierings- 
rutiner, sa att de genomforda andringarna overensstammer med de uppstallda 
forvantningarna. Om det finns avvikelser sa ar sannolikheten att kunna aterstalla 
informationen storre ju narmre handelsen i tid man ar, sa det ar viktigt att dessa 
upptacks skyndsamt. 
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Handhavandefel och angrepp utgor de storsta incidentkategorierna med ungefar 
en femtedel vardera av de rapporterade it-incidenterna. Darefter foljer oonskad 
eller oplanerad storning i kritisk infrastruktur samt storning i driftmiljd och 
storning i mjukvara eller hardvara. 

Andelen rapporterade angrepp har gatt stadigt nedat under de senaste fyra 
aren, medan det har skett en okning av handhavandefel och storningar i kritisk 
infrastruktur. 


■ 2016 ■ 2017 
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Figur 5. Andelen rapporterade it-incidenter indelat efter kategori aren 2016-2019. 
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Exempel pa odnskad eller oplanerad stdrning i kritisk 
infrastruktur 

En eftermiddag drabbades myndigheten av ett avbrott hos sin mobiltelefoni- 
operator. Myndighetens mojligheter att kommunicera med omvarlden med 
mobiltelefon blev da mycket begransade. Samtal tappades, brots, var helt tysta 
eller gick inte fram. Detta medforde stor paverkan pa flera verksamhetsomraden 
inom myndigheten, med effekter for saval anstallda som allmanheten. 

Samma kvall klarskrevs incidenten av mobiloperatoren men problemen aterkom 
efterfoljande morgon, och pagick da fram till eftermiddagen. Incidenten klarskrevs 
igen pa eftermiddagen dag tva, med undantag for kapacitetsproblem till och fran 
mobiloperatoren. Detta medforde i sin tur problem med overvakningslosningar 
som gick pa mobiloperatorens nat. Detta problem atgardades under kvallen dag 
tva. Foljande dag genomforde mobiloperatoren atgardsarbeten och uppgraderade 
da utrustning. 

Totalt drabbades myndigheten under en och en halv dag. Under denna tids- 
period kompletterades mobiltelefonitjansten med fasta telefoner samt mobil- 
telefoner med annan operator. 


Rekommendation 

For verksamheter som levererar samhallskritiska tjanster ar det viktigt att upp- 
handla redundanta leverantorer, sa att man snabbt kan stalla om till en annan 
aktor om problem med tjansteleverans eller liknande uppstar. 

Myndigheter med anslutning till SGSI (Swedish Government Secure Intranet), ett nat- 
verk for datakommunikation mellan myndigheter som ar skilt fran internet, har generellt 
battre redundans och klarar darmed storningar battre. For ytterligare redundans 
gallande telefoni bor myndigheter se over mojligheten till anvandandet av Rakel 1 . 

Det ar aven viktigt att upphandla tydliga serviceavtal om vilka krav som stalls pa 
tjansten. Forutom krav pa kostnader, driftsakerhet, antal fel och hastighet bor 
incidenthantering vara ett krav. Kraven bor anges sa att de blir matbara. 


1. Rakel ar ett digitalt radiokommunikationssystem for trygg och saker kommunikation mellan 
medarbetare inom samhallsviktig verksamhet, for mer information se msb.se/rakel 
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4.3 Konsekvenser 

Omfattningen av konsekvenserna bedoms av den rapporteringsskyldiga 
myndigheten. For 2018 och 2019 har cirka tre fjardedelar av konsekvenserna 
varit begransade eller stora, medan motsvarande andel for 2016 och 2017 
var tva tredjedelar. Andelen allvarliga it-incidenter dar konsekvenserna varit 
mycket stora, okanda eller inte har angetts verkar ha stabiliserats de senaste tva 
aren, dar andelen mycket stora konsekvenser ligger strax over 10 %. Den enda 
kategori som foljt en tydlig utveckling over samtliga fyra aren ar konsekvens- 
kategorin stor, som okat for varje ar. 



| Begransad 
Stor 

■ Mycket stor 

■ Okand 
Inget svar 



Figur 6. Fordelning av omfattning av konsekvenser for rapporterade it-incidenter under 
2019 samt 2016-2018. 


Arsrapport it-incidentrapportering 2019 31 



It-incidentrapportering 2016-2019 


4.4 Angrepp och polisanmalan 

Vid angrepp, eller vid misstanke om att it-incidenten har sitt ursprung i en 
brottslig gaming, uppmanar MSB den rapporterande myndigheten att gora en 
polisanmalan. I det arbete som sker med att uppdatera frageformularet for att 
rapportera allvarliga it-incidenter kommer fragan om incidenten misstanks ha 
sitt ursprung i en brottslig gaming stallas tidigt, och i de fall dar det ar tillamp- 
bart uppmanas myndigheterna att polisanmala incidenten. I en internationell 
jamforelse forefaller det vara sa att de fiesta nationer anvander den modell som 
anvands i Sverige, det vill saga att varje enskild myndighet ansvarar for att gora 
bedomningen och dar det ar tillampbart polisanmala. For att sakerstalla att de 
incidenter som har sin grund i brottslig gaming anmals till Polismyndigheten har 
MSB och Polismyndigheten fordjupat informationsdelningen. Dessutom ar bada 
myndigheterna ar en del av det kommande nationella cybersakerhetscentret. 

I kategori angrepp ingar cyberangrepp, exempelvis dataintrang, bedrageri och 
overbelastningsattacker. Fysiska tillgrepp som inbrott och stold dar exempelvis 
datorer eller mobiltelefoner forlorats, rapporteras oftast i kategorin informations- 
forlust. Darav finns det polisanmalda allvarliga it-incidenter som inte ingar i 
kategorin angrepp. 


Tabell 3. Andelen polisanmalda it-incidenter 2016-2019. 



2016 

2017 

2018 

2019 

Andel angrepp (av antalet rapporter) 

31 % 

28% 

25% 

21 % 

Andel polisanmalda angrepp 
(av antalet angrepp) 

18% 

12 % 

11 % 

21 % 

Andel polisanmalda incidenter (av totala antalet 
rapporter oavsett kategori) 

6% 

5% 

7% 

6 % 


Andelen angrepp som polisanmalts har stigit under 2019, men fortfarande 
anmals cirka en femtedel av de angrepp som rapporteras till MSB. Av dessa 
angrepp utgors en stor andel av phishingforsok, dar endast ett fatal lyckats. Den 
totala andelen polisanmalda incidenter har sedan 2016 legat pa en konstant niva. 

Beroende pa vilken typ av informationssystem som angripits ska anmalan om 
misstankt brott goras antingen till Polismyndigheten eller till Sakerhetspolisen. 

I det fall Forsvarsmakten ar tillsynsmyndighet ska rapporteringen aven ga till 
dem. 16 Sadana anmalningar behandlas i bilaga 2 (sekretessbelagd). 


16. Fram till 31 mars 2019 enligt 1996:663. Fran 1 april 2019 galler ny sakerhetsskyddslagstiftning med 
nagot andrade formuleringar kring vad som omfattas av rapporteringsskyldigheten utifran 2 kap 10 § i 
sakerhetsskyddsforordningen (2018:658). 
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Exempel pa angrepp 

En anvandare i ett hr-system pa en myndighet upptackte att denne hade tillgang 
till information som personen inte skulle ha tillgang till, och hade pa sa satt 
kunnat hamta ut ytterligare uppgifter for vilka behorighet saknats. Informationen 
tillgangliggjordes genom en sql-injektion (structured query language). Anvandaren 
uppmarksammade detta for sin chef, och blev patalad det olampliga i att utnyttja 
detta. Ytterligare slagningar skedde och darfor beslutade myndigheten att polis- 
anmala incidenten. Funktionaliteten som mojliggjorde ett umyttjande stangdes av da 
buggen blev kand, och rattades i en ny version av hr-systemet nagra dagar senare. 


Rekommendation 

Generellt bor man uppdatera sarbarheter i produkter sa snart som det ar mojligt. 
Nar det galler att forhindra sql-injektioner ar den forsta atgarden att kontrollera 
vilka applikationer (om nagra alls) ar sarbara. Ett satt ar att utfora penetrations- 
tester pa applikationerna i sin it-miljo, for att se om det gar att komma at de egna 
systemen eller information i dem. Tank pa att applikationer bor utvecklas i enighet 
med erkanda ramverk och genomga tester baserade pa exempelvis OWASP 17 och 
PTES 18 . Indatavalidering ska anvandas for att skydda applikationen eller tjansten 
mot att felaktig data anvands och kan orsaka fel. 

Nar det galler att atgarda sarbarheter for sql-attacker kommer man aven langt 
med sa kallade prepared statements, en funktion som anvands for att utfora 
samma eller liknande databasuppdrag upprepade ganger med hog effektivitet. 

Vid sql-injektioner anvands ofta en forberedd mall dar vissa konstanta varden 
ersatts under varje exekvering. 


17. Open web application security project 

18. Penetration testing execution standard 






\ 



Analys av 

it-incident- 

rapporteringen 



5. Analys av it-incident- 
rapporteringen 

Detta kapitel innehaller analys av de inkomna rapporterna om allvarliga it- 
incidenter, vilket ligger till grund for foljande kapitel om stod och rekommen- 
dationer till bade de myndigheter som traffas av MSB:s foreskrifter, men aven 
till ovriga aktorer. Sammanfattningsvis ser MSB med oro pa den kombinerade 
utvecklingen av okande andel handhavandefel, foraldrade it-miljoer hos svenska 
myndigheter och intensifierad digitalisering. I en komplex och i vissa fall for- 
aldrad it-miljo kan enskilda handhavandefel fa stora, och ibland svarligen upp- 
tackta och korrigerbara foljder. Denna problematik ar oroande och det kravs 
krafttag for att bade modernisera och gora it-system transparenta, sparbara och 
sakra. Samtidigt som de som arbetar i systemen maste kompetensutvecklas, 
bade for att mota den nya tekniken, men ocksa for att kunna ansvara och ta 
hand om den transformation av samhallets informationshantering som sker. 
Ytterligare forsvarande omstandigheter ar det faktum att den hoga andelen 
handhavandefel kan indikera en generell kompetensbrist. Givet den generella 
kompetensbristen kan det antas att kompetensen om att det ska, och vad, som 
ska rapporteras ocksa ar eftersatt. 

MSB bedomer att det foreligger en risk att kommande ars it-incidenter 
kommer att fa allt allvarligare konsekvenser i takt med att digitaliseringen av 
myndigheternas informationshantering fortsatter. For att motverka denna 
utveckling behover arbetet med information- och cybersakerhet prioriteras, 
resurssattas och utvecklas hos statliga myndigheter de kommande aren. 

5.1 Fler kan rapportera mer 

MSB har sedan den forsta arsrapporten publicerades varen 2017 konstaterat samma 
sak varje ar: det ar for fa incidenter som rapporteras, och for fa myndigheter 
som rapporterar, aven om antalet rapporterande myndigheter har okat. Orsaken 
till franvaron av rapportering kan variera, och FOI har haft ett sarskilt uppdrag 
fran regeringen att ytterligare belysa detta. Rapporten 19 visar att anledningarna 
till varfor en myndighet valt att inte rapportera ar flera och varierande. Nagra 
exempel pa detta ar att rutiner for att identifiera, bedoma, hantera, dokumentera 
och rapportera it-incidenter saknas eller ar bristfalliga, hog arbetsbelastning pa 
myndigheten, bristande rutiner for att hantera overforing av sekretessbelagd 
information, svarigheter i att bedoma it-incidenters allvarlighetsgrad samt att 
myndigheten inte upplever nagon nytta med rapporteringen. Flera anledningar 
som namns i rapporten ar att befintliga rutiner inte ar inarbetade, bristande 
intern informationsdelning, svarigheter rorande bedomning och hantering av 


19. IT-incidenter pa statliga myndigheter. Orsaker till utebliven rapportering, Rapportnummer: 
FOI-R—4815—SE 
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sekretessbelagd information, samt otillracklig aterkoppling fran MSB. Rapporten 
problematiserar vidare myndigheternas upplevda oklarhet gallande rapporterings- 
skyldighet samt ansvarsfordelning nar vardmyndigheter for it-drift anvands. 

Arbetet med att revidera foreskrifterna som reglerar incidentrapporteringen 
har inkluderat underrapporteringsproblematiken som en, av manga, ingangs- 
variabler. Huruvida uppdaterade foreskrifter kommer att underlatta for myndig- 
heterna att avgora nar, vad och varfor de ska rapportera in it-incidenter far 
utvarderas nar de tratt i kraft, och varit gallande under en tid. Da myndigheter 
skiljer sig at pa alia plan sett till uppdrag, storlek, placeringsort med mera ar det 
svart att dra generella slutsatser varfor de inte rapporterar i den utstrackning som 
MSB forvantar sig. For att battre forsta, samt initiera kontakt, har vi under 2019 
paborjat ett projekt med att kontakta samtliga myndigheter for att undersoka 
huruvida nagot specifikt stod behovs gallande informations- och cybersakerhet. 
Denna kontakt har, baserat pa det okande antalet myndigheter som rapporterar, 
inneburit att Hera myndigheter integrerat MSB i sin incidenthanteringsprocess, 
och darmed rapporterat incidenter som bedoms som allvarliga. MSB har 
identifierat ett behov av att oka synligheten for att kunna marknadsfora och 
tillgangliggora det stod som erbjuds, och den resurs MSB ar for myndigheter 
nar det galler informations- och cybersakerhet. 

Ytterligare en faktor som paverkar den upplevt laga rapporteringsgraden ar de 
myndigheter som har i stort sett hela sin it-drift och -miljo hos en annan myndig- 
het. Det har visat sig vara otydligt for de aktuella myndigheterna i dessa fall vem 
som ska rapportera, vilket i vissa fall har lett till att ingen rapport kommit till 
MSB. Rapporteringsplikten galler statliga myndigheter under Regeringskansliet, 
denna grupp bestar av manga olika myndigheter, vissa med tydliga kopplingar 
till andra myndigheter i fragan om informationshantering. I de fall nar en storre 
myndighet huserar en annan myndighets it-drift kan det vara svart, givet de 
komplexa och i vissa fall, alderstigna system som anvands att tydligt veta vems 
information som ar drabbad, och i vilken utstrackning. Denna problematik 
forstarks av initiativ att dela och tillgangliggora information mellan myndig¬ 
heter for att underlatta hantering av arenden, eller annan handlaggning hos 
respektive myndighet. I vissa fall driftas myndigheterna av aktorer som inte ar 
rapporteringspliktiga, vilket leder till oklarheter hur dessa overhuvudtaget ska 
rapportera incidenter till MSB. Detta gor att statistiken rorande hur stor andel 
av myndigheterna som rapporterar allvarliga it-incidenter till MSB behover lasas 
med forstaelsen att totalen inkluderar myndigheter som i praktiken inte kan 
rapportera incidenter till MSB. 

5.2 Mycket gar att forebygga 

De fiesta av de allvarliga it-incidenter som rapporteras till MSB, och sarskilt de 
som far stora eller mycket stora konsekvenser, beror pa manskliga mis stag och 
problem med tekniska losningar. 20 Detta ar ocksa en trend som forstarkts under 
den tid som rapporteringsskyldigheten funnits. Samtidigt har de senaste arens 
attacker och it-incidenter visat pa sarbarheterna i samhallet nar det forebyggande 
arbetet inte varit tillrackligt utvecklat. Dessa uppmarksammade fall har dock 


20. Detta stammer avert overens med de incidenter som rapporteras till datainspektionen enligt GDPR 
dar ungefar 60 % av incidenterna beror pa manskliga misstag, for mer information se 
https://www.datainspektionen.se/globalassets/dokument/rapporter/anmalda-personuppgiftsincidenter-2018.pdf 
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forstarkts av att de drabbade organisationerna inte har haft ett systematiskt och 
riskbaserat arbete fullt ut nar det kommer till informations- och cybersakerhet. 

En okad digitalisering, exempelvis genom okad anvandning av molnlosningar 
och uppkopplade enheter (IoT), medfor ett okat beroende av kritisk infra- 
struktur, dar storningar kan fa stora konsekvenser for myndigheternas arbete, 
och darmed ocksa medborgarnas fortroende for myndigheterna. Digitaliseringen 
medfor ett kraftigt okat behov hos myndigheterna att ha god ordning pa sin 
information. Var linns den, vem har tillgang till den, vem ansvarar for den, 
och vilka behov linns gallande tillganglighet, riktighet och konlidentialitet? Att 
informationsklassa och regelbundet analysera vilka hot, risker och sarbarheter 
relaterat till informationen som myndigheten hanterar ar kritiskt for att i for- 
langningen behalla fortroendet for myndighetens verksamhet. 

Riksrevisionen har uppmarksammat problematiken kring foraldrade it-system 
inom staten och de svarigheter de medfor kring sakerhet och integrering med 
mer moderna system. Att behova hantera system som nar de byggdes inte 
hade samma sakerhetskrav ar en sak, men att digitalisera idag utan att tanka 
sakert fran borjan ar oacceptabelt. Fler incidenter som rapporterats under det 
senaste aret handlar om driftproblem och sakerhetsbrister i programvara som 
inneburit stora storningar i myndigheters verksamhet. Nar kraven pa digitalise- 
ring och integrering av olika system okar innebar det att forandringar behover 
byggas genom security by design, det vill saga att tanka sakert fran borjan. 
Detsamma galler aven nar myndigheter utkontrakterar sin it-drift, antingen till 
andra myndigheter eller till privata aktorer genom upphandling. 21 Informations- 
sakerhetsansvaret kan aldrig utkontrakteras, den ar myndighetens ledning alltid 
ytterst ansvarig for. Att hanvisa informationssakerhet till it- eller sakerhets- 
ansvariga ar inte heller en losning. Informationssakerhet ar nagot som angar 
hela myndigheten, precis som ovrig verksamhetsstyrning. 

Myndigheter behover sakerstalla att ratt kompetens gallande omvarldsbevakning 
och analys av ny teknologi linns tillganglig. Myndigheters digitalis ering forhaller 
sig till omvarlden och inte sallan forlitar de sig pa utkontrakterade losningar 
for att uppna de aningen aggressivt satta digitaliseringsmal de forhaller sig till. 
Denna utveckling ar vansklig och kan leda till stora sarbarheter och allvarliga 
konsekvenser for samhallet. I och med den hastiga och ibland ogenomtankta 
digitaliseringen som samhallet genomgar, utan hansyn till sakerheten i losningarna, 
prioriteras eller gloms ibland sakerheten bort och kopplas pa som ett sent pa- 
hang i processen. Detta leder aldrig eller sallan till en andamalsenlig sakerhet utan 
snarare en osaker digitalis ering. Alternativt leder detta till en valdigt mycket dyrare 
process an vad som hade varit fallet om sakerhet hade inkluderats fran borjan. 


21. For vagledning gallande upphandling se: https://www.msb.se/sv/publikationer/upphandling- 
till-samhallsviktig-verksamhet--en-vagledning/ 

Samt: https://www.msb.se/sv/publikationer/upphandla-informationssakert--en-vagledning 
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6. Rekommendationer 


Den har rapporten har tydligt visat pa behovet av ett utvecklat arbete med 
informations- och cybersakerhet hos statiiga myndigheter. MSB satsar for att 
kunna lamna battre stod till myndigheter och andra aktorer i samhallet for att 
uppfylla regeringens ambitioner i cybersakerhetsstrategin fran 2018.1 det ingar 
bland annat reviderade och nya foreskrifter pa omradet, ett utokat metodstod 
och utvecklad aterkoppling och erfarenhetsaterforing gentemot myndigheter 
och naringslivet. Men detta kommer inte gora tillracklig skillnad om inte ovriga 
myndigheter ocksa gor motsvarande anstrangningar. 

6.1 Hoj lagstanivan 

Det ar angelaget att med kraftfulla atgarder fortsatta hoja grundnivan av 
informations- och cybersakerhet i samhallet. Tack vare okade medel for 
verksamheten, samt nya uppgifter och mandat, har MSB pa senare ar kunnat 
intensifiera sitt arbete med att hoja informations- och cybersakerhetsformagan 
i samhallet. Nar det galler offentlig sektor satter nu MSB med hjalp av nya fore¬ 
skrifter for forsta gangen en grundniva for statiiga myndigheters it-sakerhet och 
skarper dessutom kraven pa myndigheternas systematiska informationssakerhets- 
arbete. En skarpning av regleringen, teknisk utveckling och utokad uppfoljning 
kommer innebara ett okat behov av stod och rad, vilket medfor okade forvantningar 
pa MSB som aktor. MSB har pa senare tid aven fatt ett flertal regeringsuppdrag 
om att tillhandahalla utbildningar i bade privat och offentlig sektor. 22 Stodet till 
kommuner, regioner och statiiga myndigheter kommer darmed att oka genom 
praktiska utbildningar och forum for samverkan. I detta ingar aven att, vid 
behov, sarskilt utveckla stod till mindre myndigheter. 

Med stod av NIS-regleringen staller MSB nu enhetliga krav pa ett kontinuerligt 
och systematiskt arbete med informations- och cybersakerhet inom en rad 
centrala sektorer, krav som pa sikt kommer att kompletteras med sektors- 
specifika krav fran respektive tillsynsmyndighet pa att vidta sakerhetsatgarder. 
Det finns behov av att etablera forbattrade samverkansformer for de aktorer 
som omfattas av NIS-regleringen, exempelvis erbjuda praktiska motesformer 
och mojligheter att dela kunskap. Vidare ar det viktigt att fortsatta oka det 
stod som MSB och andra myndigheter lamnar, samt att aven se over NIS- 
regleringens nuvarande tillampningsomrade. 


22. Ju2019/03057/SSK 
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I vantan pa att de nya foreskrifterna ska trada i kraft finns det ett stort varde i 
att atminstone implementera vissa grundlaggande it-sakerhetsatgarder. Dessa 
ar primart framtagna for att bemota antagonistiska hot men flera av atgarderna 
skulle aven kunna anvandas for att minska konsekvensen av vanligt fore- 
kommande incidenter och for att hoja den generella nivan. 

• Inaktivera oanvanda tjanster och protokoll 

• Segmentera natverken och filtrera trafiken mellan segmenten 

• Infor flerfaktorsautentisering for konton med administrativa behorigheter 

• Begransa anvandningen av administrativa behorigheter 

• Konfigurera sa att sakerhetsloggar skickas centralt och att dessa analyseras 

• Installera sakerhetsuppdateringar sa fort det gar 

• Uppgradera mjuk- och hardvara samt operativsystem 

• Infor att endast godkand programvara far koras (vitlistning) och inaktivera 
att makron kors 

• Anvand antivirus/antimalware 

• Konfigurera sakerhetskopiering och testa aterstallning. 


6.2 Arbeta systematiskt och riskbaserat 

For att kunna sakerstalla en tillracklig niva av informationssakerhet i en organisation 
ar det viktigt att informationssakerhetsarbetet bedrivs systematiskt, riskbaserat 
och langsiktigt. Att arbeta pa detta satt bidrar till ett bra sakerhetsarbete som 
skyddar organisationens informationstillgangar. Det bidrar aven till att resurser 
anvands till det som ar viktigt och att organisationen i samband med en incident 
kan hantera och aven aterhamta sig efter handelsen. 

MSB:s metodstod ar framtaget for att stotta organisationer i att bedriva ett 
systematiskt informationssakerhetsarbete. Metodstodet i sin tur bygger pa de 
internationella standarderna i ISO/IEC 27000serien. 

Metodstodet beskriver hur de komponenter som utgor ett lednings system for 
informationssakerhet (LIS) kan utformas. Ett LIS bestar av alia de delar som 
kravs for att kunna skapa en systematik for arbetet med informationssakerhet 
— allt fran styrande dokument till metodik. 

Metodstodet ar tillgangligt for alia, och gar att applicera oavsett storlek eller 
organisationsform. Givet problematiken med underrapportering och bristande 
kontinuitetsplanering ar forhoppningen att detta stod ska hoja lagstanivan, 
samt oka rapporteringsgraden och samtidigt minska konsekvenserna av de 
inrapporterade incidenterna. 
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Du hittar metodstodet i sin helhet och fler verktyg pa: informationssakerhet.se 

Nedan foljer ett antal rad och tips pa hur en organisation kan arbeta systema¬ 
tise med stod fran metodstodet. 

• Ledningens ansvar. Ledningen har det overgripande ansvaret for informations- 
sakerheten inom sin organisation. Den ar ytterst ansvarig och behoverfatta 
nodvandiga beslut om inriktning och resurser samt folja upp att resultat 
uppfyller stallda forvantningar. En ledning som arengagerad och inforstadd 
med verksamhetsnyttan med informationssakerhetsarbetet skapar goda 
forutsattningarfor att myndighetens information skyddas tillrackligt. 

• Organiseringen av informationssakerhetsarbetet. For att over tid kunna ut- 
veckla och erhalla kontinuitet i informationssakerhetsarbetet ar det vasentligt 
att roller och ansvar ar definierade och kanda inom hela organisationen. Det 
ar battre att ta fram en enkel organisation med medvetet valda arbetssatt till 
att borja med, roller kan utokas efter hand. 

• Internt regelverk. Styrdokument som ar underliggande till informationssakerhets- 
policyn, som anvisningar och instruktioner ar ofta omfattande och riktar sig 
till olika malgrupper. De bor darfor anpassas for dessa. Hall nere antalet 
anvisningar och se om du kan fora in instruktioner gallande informations- 
sakerhet i malgruppernas befintliga dokumentation som beskriver hur de 
ska utfora olika arbetsuppgifter. 

• Identifiera informationstillgangar. Analysera era informationstillgangar - det 
vill saga information som verksamheten hanterar och som ni darmed ska 
skydda, inklusive de resurser som behandlar informationen (exempelvis 
it-system). Korn ihag att informationstillgangar ar inte bara sadana som 
”ags” av organisationen. Externa informationstillgangar som organisationen ar 
beroende av kan vara kritiska liksom informationstillgangar som ar gemen- 
samma, t.ex. med samarbetsparters eller systemleverantorer. 

• Omvarldsanalys. Analysera organisationens externa intressenter och hur 
relationen paverkar er informationshantering och i forlangningen informations- 
sakerheten. Ta stod av kollegor i branschen/sektorn, gemensamma forbund 
eller foreningar som har liknande forutsattningar i omvarlden. Anvand 
aktuella beskrivningar av hotbild, exempelvis i trend- och arsrapporter 
(internationella, nationella och sektorspecifika). 


6.2.1 Nytt stod for uppfoljning 

MSB har fatt i uppdrag av regeringen att ta fram en struktur for uppfoljning av 
det systematiska informationssakerhetsarbetet i den offentliga forvaltningen. Det 
innebar att statliga myndigheter, kommuner och regioner regelbundet ska erbjudas 
att delta i en uppfoljning och fa aterkoppling om nivan pa sitt informations- 
sakerhetsarbete och vilka forbattringsatgarder de kan vidta. Uppfoljnings- 
strukturen ska ocksa leda till att MSB kan lamna en samlad nivabedomning till 
regeringen och battre utveckla myndighetens stod. Viktiga referenspunkter i 
arbetet med att utveckla uppfoljningsstrukturen ar bland annat standardserien 
ISO/IEC 27000 samt MSB:s foreskrifter och stod pa omradet. 

Uppfoljningsstrukturen ska vara ett stod for den offentliga forvaltningen 
och bidra till organisationernas eget forbattringsarbete och larande. Olika 
organisationer har natt olika langt och aterkopplingen ar tankt att stodja steg- 
vis utveckling av arbetet. Uppfoljningen ska darefter genomforas regelbundet 
och bli en del av MSB:s lopande verksamhet. 
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En myndighet lick in skrappost som passerade e-postfiltret. I meddelandet 
uppmanades anvandare att byta losenord genom att folja en lank. Totalt lurades 
over 100 anvandare att lamna ut sina inloggningsuppgifter. En extern aktor 
utnyttjade sedan e-postkonton hos myndigheten i syfte att skicka skrappost. 
Kontouppgifterna missbrukades inte pa andra satt enligt den drabbade myndig¬ 
heten. Genom loggar kunde man spara vilka anvandare som anslutit mot den 
externa webbservern, och pa sa satt identifiera kapade konton. Dessa konton 
inaktiverades och deras respektive losenord byttes ut. 

Sa fort myndigheten blev medveten om incidenten blockerades tillgangen 
till den externa sajten. Vidare loggades alia forsok att fa tillgang till sajten och 
dessa konton inaktiverades. Myndigheten overvakade ocksa sitt skrappostfilter 
for att se om nagra forsok att skicka ut skrappost hade gjorts. Efter tre dagar 
bedomdes det akuta skedet vara over. 

Omfattningen av incidenten var att cirka 200 000 skrappostmeddelanden 
skickades ut fran myndighetens e-postserver. En effekt blev att myndigheten tick 
problem att skicka e-post under tva timmar da den blev svartlistad av ett flertal 
domaner. Den hade ocksa aterkommande problem med fordrojning av e-post- 
leverans pa grund av den tidigare svartlistningen. 

I incidentrapporten framgar aven att myndigheten planerade genomfora ett 
antal utbildningsinsatser for att minska risken att liknande handelser sker igen. 
Den planerade aven att byta sitt e-postfilter samt infora sakerhetshojande 
atgarder pa sina e-postservrar. 


Rekommendation 

Myndigheten har vidtagit ett antal korrekta atgarder for att forhindra att liknande 
incidenter sker igen. Forutom informationsinsatserforatt utbilda personalen om 
kanda natfiskemetoder och hur kanslig information bor skyddas sa rekommen- 
deras en oversyn av skyddslosningar och kontrollsystem for att sakerstalla att 
tillrackligt skydd ar installerat i alia led i it-miljon. 





Rekommendationer 


6.3 Hantera incidenter 

Nar det galler operativ it-incidenthantering ar det funktionen CERT-SE som 
ar Sveriges nationella funktion for hantering av it-relaterade incidenter inom 
samhallsviktig verksamhet i bade privat och offentlig sektor. For att kunna till- 
handahalla det basta mojliga stodet sker internationellt samarbete och omvarlds- 
bevakning gallande bland annat sarbarheter i produkter, skadlig kod, attackmetoder 
samt intrang och otillaten anvandning av it-system. Forutom att hantera pagaende 
incidenter omsatter CERT-SE information till rekommendationer och formedlar 
till verksamheter i syfte att konkret stodja och forbattra it-sakerheten. 

Vid en incident kan CERT-SE stodja med exempelvis radgivning kring han- 
teringen, eventuella kopplingar till pagaende eller tidigare handelser och teknisk 
analys av angripna system. For att minska risk for spridning publiceras rad kring 
utnyttjade sarbarheter och rekommenderade atgarder. Nar flera intressenter 
behover samverka kan CERT-SE koordinera det arbetet. 


CERT-SE kan nas dygnet runt, alia dagar pa aret. 

For att ge basta mojliga stod vid en incident ar det bra om foljande uppgifter 
finns tillgangliga: 

• Vad har hant? 

• Hur och nar upptacktes it-incidenten? 

• Vilka atgarder har vidtagits? 

• Ar incidenten pagaende? 

• Kan CERT-SE och MSB hjalpa till? Hur? 

• Gor polisanmalan om incidenten har brottslig karaktar. 
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Exempel pa informationslackage eller -forlust 

I samband med en systemuppdatering som genomfordes infor arsskiftet 
2018-2019 intraffade en incident dar uppgifter rojdes under den givna perioden. 
Detta uppdagades och rapporterades forst under hosten 2019. Incidenten visa- 
de att ett antal personers information oavsiktligt andrades i samband med den 
tidigare systemhandelsen och risken var att dessa kansliga uppgifter kunde ha 
rojts. Vid den forsta analysen bedomde myndigheten att incidenten omfattade 
personer med skyddade personuppgifter, och att detta var kopplat till den 
specifika systemhandelsen. 

Myndigheten kunde inte hitta nagra indikationer pa att de skyddade uppgifterna 
hade utnyttjats av obehoriga internt i systemmiljoerna eller vid kontakt med 
myndigheten. 


Rekommendation 

Det ar viktigt att verifiera att forandringar i it-miljon far det resultat som man for- 
vantat sig. I det harfallet hade lang tid forflutit mellan handelsen och upptackten 
av den. Ett satt att minska risken for att nagot liknande intraffar ar att se over 
verifieringsrutiner och aven se till att det finns nagon som ar ytterst ansvarig for 
att forandringarna sker korrekt och fullstandigt. 
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7. Fokusomraden 


Nedan foljer ett axplock av de omraden MSB fokuserat pa och kommer att 
fokusera pa for att oka samhallets informations- och cybersakerhet. 

7.1 Behovsinventering 

MSB har under 2019 kontaktat de fiesta rapporteringsskyldiga myndigheter 
och gjort en behovsinventering med anledning av deras rapportering, eller 
franvaron av den. I korrespondensen ingick en forfragan om intresset for stod 
fran MSB gallande systematiskt- och riskbaserat arbete, forebyggande tekniska 
atgarder samt operativt stod fran CERT-SE vid hanteringen av handelser. 

MSB har sammanstallt svaren och kommer under 2020 att ga vidare genom 
att analysera hur man pa basta satt kan erbjuda ytterligare stod. 

7.2 Samlad informations- och cyber- 
sakerhetshandlingsplan 2019-2022 

I juli 2018 gav regeringen MSB, FRA, Forsvarets materielverk (FMV), Forsvars- 
makten, Post- och telestyrelsen (PTS), Polismyndigheten och Sakerhetspolisen 
i uppdrag att ta fram en samlad informations- och cybersakerhetshandlingsplan 
for aren 2019—2022. 

Flandlingsplanen bidrar till att ge regeringen ett battre underlag for att kunna 
analysera om myndigheternas planerade atgarder ar tillrackliga for att na mal- 
sattningarna i den nationella strategin och vilka ytterligare atgarder regeringen 
behover vidta. Enligt regeringen bor den samlade handlingsplanen syfta till att 
det sker en samordning avseende myndigheternas atgarder och aktiviteter. 

Samtliga atgarder i handlingsplanen ansluter till nagon eller nagra av de sex 
strategiska prioriteringar som regeringen beslutat i den nationella strategin 
for samhallets informations- och cybersakerhet. 23 Arbetet med atgarderna i 
handlingsplanen ska rapporteras arligen till regeringen den 1 mars. 

2020 ars redovisning bestar av 77 atgarder. Nastan en tredjedel av atgarderna 
genomfors i samverkan mellan en eller flera av myndigheterna som ingar i 
uppdraget och manga atgarder sker i samverkan med andra aktorer i samhallet. 
Mer an halften av atgarderna ar nya eller uppdaterade jamfort med foregaende 
ar. Nytt i 2020 ars redovisning ar, forutom flera nya atgarder, nya kapitel om 
extern samverkan samt uppfoljning. Under 2020 kommer aven arbetet med 
handlingsplanen for 2021 att paborjas. 


23. Skr. 2016/17:213 
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7.3 Nationellt cybersakerhetscenter 

I borjan av 2019 aviserade regeringen att ett nationellt cybersakerhetscenter 
ska inrattas i Sverige. Under hosten samma ar fick FRA, Forsvarsmakten, 

MSB och Sakerhetspolisen ett regeringsuppdrag infor inrattandet av ett sadant 
center. Uppdraget redovisades i samrad med Polismyndigheten, FMV och PTS 
i december 2019. 

Som ett led i fordjupad myndighetssamverkan driver de sju myndigheterna ett 
gemensamt projekt for att forbereda etablerandet av ett nationellt cybersakerhets¬ 
center. Projektet pagar under 2020 och ska forutom beredning av centrala fragor 
aven gora de forsta gemensamma leveranserna. 

Myndigheterna ar overens om att extern samverkan ar en central del av verk- 
samheten i ett framtida nationellt cybersakerhetscenter. Fullt utbyggt kommer 
centret att stodja cybersakerhetsarbetet i en bredd av malgrupper i bade privat 
och offentlig sektor. 

7.4 Totalforsvarets behov av informations- 
och cybersakerhet 

Den aterupptagna totalforsvarsplaneringen staller hoga krav pa myndigheternas 
formaga att hantera och arbeta med information med hoga skyddsvarden. 
Totalforsvarsplaneringen ar dimensionerande for informations sakerhetsarbetet, 
men det ar viktigt att aven planera for och ha kapacitet att klara av krissituationer 
samt lagen vid, eller infor hojd beredskap. 

Kopplingen informations- och cybersakerhet och krisberedskap och planering 
infor hojd beredskap ar stark, och en val fungerande informationshantering vid 
saval kris som i ett lage av hojd beredskap ar oerhort viktigt for att klara av krisen, 
eller kriget. Planeringen infor hojd beredskap ar aven viktig da den tvingar 
myndigheter att analysera vilka beroenden de har, dels gentemot andra myndig- 
heter, men aven mot den privata sektorn. Energiforsorjning och fungerande 
telekom ar vitala aspekter om nagot informationsutbyte ska ske mellan statliga 
myndigheter, eller privata aktorer under kris, eller hojd beredskap. Under 2019 
har MSB, tillsammans med PTS arbetat med en omradesvis programplan for 
omradet information och kommunikation. Denna programplan ar en pilot for 
att paborja arbetet med att identifiera och planera for hur omradet information 
och kommunikation ser ut, och hanger ihop. Detta arbete har belyst det faktum 
att stora delar, i princip hela, samhallet har ett stort beroende gentemot elektro- 
nisk kommunikation och informationsutbyte. Det stora beroendet ar sant aven 
under normallage, samt kris. Arbetet ar en viktig medvetandehojande insats, 
och detta bor goras tydligt for samtiiga aktorer. 

Informations- och cybersakerhet kommer att spela en central roll i den 
situation som ofta beskrivs som grazon. Cyberangrepp och fysiska angrepp 
som paverkar elektronisk kommunikation och informationsutbyte i samhalls- 
viktig verksamhet ar troliga i ett grazonslage. For att oka beredskapen infor en 
sadan situation behover samtiiga aktorer forsta sin egen informationshantering 
och sin roll i det moderna totalforsvaret. MSB arbetar med dessa fragor dels 
inom ansvarsomradet samhallets informations- och cybersakerhet, men aven 
gallande Totalforsvarsovning (TFO) 2020 som planeras, genomfors och utvar- 
deras gemensamt av MSB och Forsvarsmakten. 
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7.5 Nationellt ramverk for grunddata och 
digital infrastruktur for informationsutbyte 

Sedan hosten 2019 deltar MSB i tva regeringsuppdrag med fokus pa att framja 
den digitala utvecklingen av svensk offentlig forvaltnings informationshantering. 
Uppdragen genomfors av en rad olika centrala myndigheter med Myndigheten 
for digital forvaltning (DIGG) i ledningen. Genom ett nationellt ramverk for 
grunddata och en forvaltningsgemensam digital infrastruktur for informations¬ 
utbyte ska gemensam hantering och utbyte av information bli mer effektivt och 
ge okade mojligheter till styrning och samordning. I och med att myndigheterna 
gar mot att standardisera och bygga ut det forvaltningsgemensamma digitala 
informationsutbytet blir det extra viktigt att fran borjan etablera ett gemensamt 
informationssakerhetsarbete. Den gemensamma informationssakerheten 
behover sarskilt dimensioneras och utvecklas i takt med att alltmer komplexa 
beroendeforhallanden skapas och volymen av information som delas och 
vidareutnyttjas vaxer. 

MSB ar med och stottar informationssakerhetsarbetet aktivt i dessa utvecklings- 
projekt inom offentlig sektor. Malet ar att bidra till en fortsatt saker och hallbar 
digitalisering. Stodet utformas efter bland anant de lardomar som gors av 
dagens it-incidentrapportering. 
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8. Utmaningar 

Omvarldsutvecklingen gar fort framat nar det galler informationsteknologi 
vilket staller hoga krav pa verksamheter att i ett tidigt stadium, och med en 
overgripande ansats, arbeta forebyggande, systematiskt och riskbaserat med 
informations- och cybersakerhet. Det ar tydligt att ingen verksamhet helt kan 
undvika it-incidenter. Det ar ocksa tydligt att manga av de incidenter som 
intraffar far storre konsekvenser pa grund av ett undermaligt sakerhetsarbete. 
Detta innebar att manga konsekvenser som uppstar, och som pa ett eller annat 
satt innebar kostnader for verksamheterna skulle ha kunnat minskas/undvikas 
om det systematiska och det riskbaserade arbetet varit battre, eller prioriterats av 
ledningen. Det ska dock tillaggas att det aven sker incidenter, med konsekvenser 
som ar oundvikliga, oavsett hur det forebyggande arbetet bedrivits. Den stora 
skillnaden ar att verksamheter och organisationer som arbetar systematiskt och 
riskbaserat snabbare inser vad som hander, samt mildrar konsekvenserna av 
incidenterna pa ett effektivare satt an om det gors ad hoc. Denna distinktion ar 
viktig, ingen verksamhet, eller organisation kommer undga att fortsatta digitali- 
seras. Denna digitalisering innebar att nya analyser maste goras for att sakerstalla 
att det som behover skyddas, och det som behover fungera ges forutsattningar 
av ledningen att gora det. 

Hur myndigheter klarar av att hantera kommande arens teknikskiften kommer 
att vara avgorande. Ny kommunikationsteknologi i kombination med en expo- 
nentiell okning av uppkopplade produkter samt dramatiskt okad beraknings- 
och lagringskapacitet innebar stora forandringar for manga myndigheter. Aven 
om verksamheten i sig inte anvander nagon av dessa har de stor paverkan pa 
samhallet i ovrigt vilket ar nagot som alia behover forhalla sig till. Med dessa 
framsteg kommer nya produkter, mojligheten att erbjuda service pa ett annat 
satt, samt stora effektiviseringsvinster. Det kan dock vara svart for organisationer 
och verksamheter att analysera nar en viss ’’nymodighet” blivit central i verk¬ 
samheten. De eventuella sakerhetsproblem eller brister som detta innebar 
pavisar behovet av lopande oversyn av sakerhetsarbetet. 

Inget talar for att intensiteten i digitaliseringsarbetet kommer att minska, 
tvartom, det kommer formodligen att drivas pa i oforminskad, eller okad styrka. 
Denna trend, eller normaltillstand, behover inforlivas i verksamhetsplaneringar, 
riskbedomningar, kontinuitetsplaneringar samt, inte minst, i arbetet som sker pa 
ledningsniva. Givet dessa forutsattningar ar det viktigt att det stod som finns att 
tillga anvands, samt att incidenter rapporteras nar de intraffar. Samtliga aktorer, 
inklusive MSB behover ta ett helhetsgrepp gallande digitaliseringen och de saker- 
hetsaspekter som foljer med den. Detta for att sakerstalla att digitaliseringens 
fordelar nyttjas fullt ut, utan att riskera medborgarnas fortroende for statens 
formaga att med andamalsenlig sakerhet erbjuda den service som forvantas. 
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